DHCP Bad Adresses

[bigthe 3]

Guten Morgen in die Runde,

 

ich hoffe ihr hattet ein paar angenehme Feiertage und es geht euch gut.

 

Ich bin seit ein paar Monaten in einer neuen Firma und habe dort eine Aufgabe zugewiesen bekommen. Und zwar geht es um DHCP Bad Adresses.

 

Wir haben aktuell zwei DHCP Server im Failover konfiguriert. Diese schauen auf ca. 60 verschiedenen Scopes. Wir haben seit 4 Wochen nun dieses Bad Adress Problem auf 8 dieser Scopes. Konfiguration habe ich mit Angehangen

 

Ich habe bereits in einem betroffenem Scope nach unautorisierten DHCP Servern gesucht und nur unsere zwei DHCP-Server gefunden, weiter habe ich mit Wireshark im betroffenem Scope die NIC überprüft und das Verhalten bei IP /release und /renew und auch nichts ungewöhnliches festgestellt (Abb. unten).

 

Ich bin aktuell etwas ratlos und hoffe ihr könnte mir weiterhelfen.

 

LG

 

  

auszug DHCP Logs.txt

bearbeitet 28. Dezember 2022 von bigthe

[teletubbieland 138]

Moin,

 

weiß nicht, ob es das exakt trifft.

 

Ich hatte mal den Fall, dass ein Spaßvogel einen Router als Switch verwendet und den DHCP-Server nicht abgeschaltet hat.

Bei einem Rundgang in alle Ecken, fand ich das 'böse' Gerät...

 

[bigthe 3]

Hallo,

 

das würde in meinem Fall über Rogue Server bzw. Wireshark auffallen, das es mehrere DHCP Server im Netz gibt.

[NorbertFe 1.800]

Hast du konflikterkennung an? Wie lang sind die Laufzeiten der leases?

[bigthe 3]

Hallo Norbert,

 

Konflikterkennungsversuche ist auf 1 gestellt. Die Logs sind allerdings zu gross um sie hier hochzuladen, deswegen habe ich nur den Auszug, was mir auffiel, eingestellt.

 

Die Leases sind default auf 8 Tage gestellt. Es sind ziemlich grosses Scopes und wir laufen auch nicht in Engpässe, wenn wir alle zwei Wochen manuell löschen.

 

Ohne Change kann ich das auch ohne weiteres nicht ändern.

[NorbertFe 1.800]

Hab ich was von ändern gesagt? ;) wenn die Dinger im failover laufen, gehe ich mal davon aus, dass auch alle Geräte beide Server im iphelper konfiguriert haben, oder?

[bigthe 3]

Richtig, sind beide so konfiguriert.

[speer 16]

vor 7 Stunden schrieb bigthe:

Die Leases sind default auf 8 Tage gestellt. Es sind ziemlich grosses Scopes und wir laufen auch nicht in Engpässe, wenn wir alle zwei Wochen manuell löschen.

 

 

Was bedeutet das, wenn ihr alle 2 Wochen manuell löscht? Was passiert hier genau?

[bigthe 3]

Händisch die Bad Adresses aus der DHCP Konsole bzw den Scopes gelöscht

[NorbertFe 1.800]

vor 8 Stunden schrieb bigthe:

wir laufen auch nicht in Engpässe, wenn wir alle zwei Wochen manuell löschen.

Häh? Und wenn ihr nicht alle zwei Wochen löscht? 

[bigthe 3]

Naja dann laufen wir in Gefahr keine freien IPs zu haben. Weil immer mehr Bad adresses dazu kommen. Klar die löschen sich auch nach der lease time von 8 Tagen.

 

Das Problem ist aber nicht das, sondern warum kommen die Bad adresses. In einem 22er Netz haben wir nach ca. 2 Wochen ca. 60 Bad adresses.

 

Jeder Tipp dazu wäre ich sehr dankbar.

 

LG und einen schönen Abend euch.

 

 

[NorbertFe 1.800]

Ohne ein paar mehr Infos wird’s schon schwierig. Sind da evtl. Wlan clients dabei die mit Mac adress Anonymisierung ankommen? Ich würd ja einfach mal die lease Time auf 3 oder 4 Tage stellen.

[bigthe 3]

vor 26 Minuten schrieb NorbertFe:

Ohne ein paar mehr Infos wird’s schon schwierig. Sind da evtl. Wlan clients dabei die mit Mac adress Anonymisierung ankommen? Ich würd ja einfach mal die lease Time auf 3 oder 4 Tage stellen.

Welche Infos benötigst du?

Nein, die WLAN scopes sind nicht betroffen.

Die lease time zu verändern wird das Problem leider nicht lösen. 

[NorbertFe 1.800]

vor 5 Minuten schrieb bigthe:

wird das Problem leider nicht lösen. 

Warum nicht? Schon probiert?

 

[speer 16]

Läßt sich feststellen welche MAC Adresse hinter den Bad Addresses steckt? Somit liese sich der Gerätetyp feststellen. Möglicherweise sind dies keine Windows Clients.

Was macht den das Gerät mit der IP: 172.24.42.12?